Il settore industriale necessita di una nuova cybersecurity. Come orchestrare sicurezza e OT per contrastare l’ascesa degli attacchi mirati e migliorare la difesa a livello di sistema
Quando si parla di cybersecurity, uno dei settori più colpiti negli ultimi anni è quello industriale. I sistemi industriali rappresentano ogni apparato, unità hardware o parti di software, usato all’interno di processi produttivi. Questi oramai comprendono verticali più o meno noti, dal manifatturiero alla logistica, ai trasporti ma anche food & beverage, energy, oil & gas e molto altro, come l’healthcare. Uno dei peggiori attacchi ai sistemi industriali recenti è avvenuto tra il 2015 e il 2016, a opera di BlackEnergy, il malware che ha bloccato una serie di centrali nell’Europa dell’Est, a partire dall’Ucraina. Ma, oltre a questo, se ne contano a centinaia, più o meno gravi, che mirano non solo a creare disagi alle infrastrutture ma anche a sottrarre documenti riservati e a dare vantaggio a eventuali mandanti. Gli attori sono più o meno sempre gli stessi: hacker, organizzazioni private e criminali talvolta mossi dagli Stati. «Non possiamo negare come molti atti di sabotaggio e spionaggio siano oramai attività ostili. Questo è particolarmente vero quando ogni principale Paese al mondo ha oramai degli “eserciti” ben addestrati ad attaccare i nemici e a difendersi, se necessario» – spiega Pier Giuseppe Dal Farra, IoT Industry business expert di Orange Business Services.
NON BASTANO LE PATCH
Ma proprio nel merito delle difese che ogni azienda può implementare per fare da scudo alle intrusioni, Dal Farra ricorda come gran parte delle intromissioni avvenga ancora sfruttando piattaforme obsolete, non più supportate. Un caso su tutti è WannaCry, che si è fatto largo con la sua campagna ransomware mirando una vulnerabilità di Windows XP. Ma quali sono i danni di attività del genere? «Parlando di sistemi produttivi, si può pensare che l’unica problematica riguardi blocchi o ritardi nella produzione» – continua Dal Farra. «Ma non è così. Rientrano negli effetti anche la perdita di reputazione per il brand, e lo stop nei servizi che possono riguardare sia la popolazione in generale, tra cui la circolazione dei mezzi pubblici, sia la sicurezza dei dipendenti delle imprese colpite». Stando ai dati del CyberX 2019 Global ICS & IIoT Risk Report, circa il 53% dei sistemi industriali non è aggiornato, il 40% ha una connessione diretta a internet, il 57% non ha una protezione dei loro terminali. Come si approccia una situazione del genere? «Nel settore industriale, la cybersecurity è un elemento chiave» – risponde Dal Farra. «Nella nostra accezione, utilizziamo l’acronimo RAMS per evidenziare quattro termini che fanno da pilastro di un modo ottimale per assicurare la difesa dei sistemi, senza limitarne le attività: Reliability, Availability, Maintainability e Safety». Operazioni che l’azienda ha attuato ad ampio raggio, in vari segmenti. Per esempio, in ambito chimico, per la validazione delle infrastrutture e raccomandazioni su come migliorare la sicurezza, a livello di sistema.
SICUREZZA INDUSTRIALE
Per portare sicurezza nei sistemi industriali, Orange Business Services agisce attraverso cinque step. «Prima di tutto – spiega Dal Farra – si procede con un’analisi generale di tutti gli apparati presenti in fabbrica, superando problemi di legacy e silos. Poi, bisogna segmentare la base di IT e OT, assicurando gli endpoint e proteggendo le reti. Fare cybersecurity oggi vuol dire monitorare costantemente le attività connesse, per intercettare comportamenti anomali. Questo si traduce nel terzo passo, che prevede appunto un monitoraggio delle attività non standard, inviando segnali di alert. Partendo da quest’ultimo, si passa allo step successivo, che consiste nel mettere in atto il rimedio». Orange Business Services può contare su una divisione specifica focalizzata sulla cyber defense, con vere e proprie squadre di pronto intervento che analizzano i problemi e applicano soluzioni. «Il quinto e ultimo processo prevede i test di penetrazione, la scoperta di superfici di attacco e lo sviluppo di patch per le vulnerabilità». Un suggerimento valido è quello di separare il mondo IT da quello OT. «In questo modo – conclude Dal Farra – possiamo trattarli in maniera indipendente, così da non bloccare l’uno con le azioni di remediation sull’altro».
